Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hardware deffekt oder Trojaner?? Labtop- externe Tastatur, standby-modus (https://www.trojaner-board.de/71791-hardware-deffekt-trojaner-labtop-externe-tastatur-standby-modus.html)

april4 06.04.2009 20:35
Hardware deffekt oder Trojaner?? Labtop- externe Tastatur, standby-modus
 
Liebe Leute!

Bin mir nicht sicher, ob ich meine Frage hier, oder im Trojaner Plagegeister Teil des Forums posten soll....
aber ich will eigentlich nur wissen, ob die probleme auf einen hardware deffekt zurückzuführen sind oder doch noch auf trojaner (trotz neuaufsetzen).

leider muß ich da ein bisschen weiter ausholen, wie es begonnen hat.

Nach dem öffnen einer pdf Datei (Acrobat Reader 6) hatte ich die Windows System Meldung: ld02.exe - Abbild fehlerhaft, ...c:\Windows\system32\digeste.dll ist keine gültige Windows Datei. ...

Gleich nach dem Wegklicken hat Norton Alarm geschlagen wegen Hacktool.Rootkit und Suspicious.MH690. Norton ließ sich danach nicht mehr aktualisieren, ich hab Avira installiert und viele Funde: Trojan.Vundo.H Backdoor.Bot, Trojan.Agent, Backdoor.Bot.Q, Rootkit Spamtool. -> alles in Quarantäne und gelöscht.
Meine externe Tastatur hat damals angefangen von selbst eingaben zu tätigen, bis sie irgendwann den geist aufgegeben hat und nur mehr der nummernblock funktioniert hat. auch auf einem anderen rechner hat sie definitiv nicht funktioniert.
Ganz unprofessionell hab ich mich trotzdem mit Eifer darüber hergemacht und verschiedene exe Dateien beseitigt (ld02.exe, pp04.exe, meinusername.exe, diverse tmp Dateien gelöscht,... Registryeinrtäge (localhost) editiert aber nach langem hin und herlesen doch fürs Neuaufsetzen entschieden. (ob der trojaner der silentbanker oder facebook virus war, würd mich eigentlich auch interessieren)

ich hab von drei Partitionen nur die c frisch formatiert, windows xp und servicepack 3 drauf.
Sobald ich aber die neue externe Tastatur anstecke, gibts wieder von selbst Tastatureingaben, manchmal mehr, manchmal weniger. in einem geöffneten Editorfenster kann ich das schön mitverfolgen, es erscheinen z.b "0000" oder aber es will sich schließen. firefox fenster maximiert sich auch immer wieder von selbst. Erscheint im editor Fenster übrigens ein "/", dann ist die nächse Aktion, dass sich der Rechner gleich darauf in den Standby Modus verabschiedet.
sobald ich die externe Tastatur absteck, ist der Spuk wieder vorbei.

ja und ich kenn mich nicht aus. sind das alterserscheinungen des labtops (doch bald 6 jahre alt), oder noch trojanerreste, weil ich find bei den dateien und prozessen nix verdächtiges. (momentan 60 tage testversion norton av 2009)

bitte um rat und sorry, dass das so lang geworden ist !!!! Liegts doch an der Hardware, oder muss ich "nur" alle partitionen neu formatieren?

lg barbara


Rechnerangaben:
Betriebssystemname Microsoft Windows XP Professional
Version 5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname xyxy
Systemhersteller Acer
Systemmodell TravelMate 240
Systemtyp X86-based PC
Prozessor x86 Family 15 Model 2 Stepping 9 GenuineIntel ~2497 Mhz
BIOS-Version/-Datum Phoenix Technologies LTD V1.12, 05.09.2003
SMBIOS-Version 2.31
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Österreich
Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername xyxy\xyxy
Zeitzone Westeuropäische Normalzeit
Gesamter realer Speicher 1.280,00 MB
Verfügbarer realer Speicher 816,47 MB
Gesamter virtueller Speicher 2,00 GB
Verfügbarer virtueller Speicher 1,96 GB
Größe der Auslagerungsdatei 2,94 GB
Auslagerungsdatei C:\pagefile.sys

und noch ein hijack this scan file:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:40, on 06.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
C:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ePrompter\ePrompter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\xxxxxx\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htxtp://www.xxx.ac.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.xxx.ac.at
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton AntiVirus\Engine\16.5.0.134\IPSBHO.DLL
O4 - HKLM\..\Run: [AS00_Gear511] C:\Programme\NETGEAR\WG511SCU\Utility.\Gear511.exe -hide
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=xxxwww.xxx.ac.at
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - hxttp://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
O23 - Service: Netgear Wireless Domain Login Service (NWDLS) - Unknown owner - C:\WINDOWS\system32\NWDLS.exe (file missing)

--
End of file - 3199 bytes


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:05 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129